管理傳輸中資料加密

本頁說明如何管理執行個體的傳輸中加密功能。

如要瞭解 Memorystore for Valkey 的傳輸中資料加密機制,請參閱「關於傳輸中資料加密」。

您只能在初次建立 Memorystore for Valkey 執行個體時啟用傳輸期間加密功能。對於以這種方式建立的執行個體,無法停用傳輸中的資料加密功能。

建立具有傳輸加密功能的執行個體

控制台

請按照「建立 Memorystore for Valkey 執行個體」一文中的步驟操作。

gcloud

如要建立具有傳輸中加密功能的 Valkey 例項,請執行 create 指令:

gcloud memorystore instances create INSTANCE \
--location=REGION_ID \
--endpoints=connections=[{pscAutoConnection={projects/PROJECT_ID/global/networks/NETWORK_ID,projectId=PROJECT_ID}}]
--replica-count=REPLICA_COUNT \
--node-type=NODE_TYPE \
--shard-count=SHARD_COUNT \
--transit-encryption-mode=server-authentication

更改下列內容:

  • INSTANCE 是您要建立的 Memorystore for Valkey 執行個體 ID。執行個體 ID 的長度必須介於 1 至 63 個字元之間,且只能使用小寫英文字母、數字或連字號。開頭必須是小寫英文字母,結尾則須為小寫英文字母或數字。

  • REGION_ID 是您要放置執行個體的區域。

  • PROJECT_ID 是您要建立執行個體的專案 ID。

  • NETWORK_ID 是您要用來建立執行個體的網路 ID。

  • REPLICA_COUNT 是您想要的備用資源數量 (每個資料分割)。可接受的值為 012

  • NODE_TYPE 是您選擇的節點類型。可接受的值如下:

    • shared-core-nano
    • standard-small
    • highmem-medium
    • highmem-xlarge

    如要進一步瞭解節點類型和執行個體設定,請參閱「執行個體和節點規格」。

  • SHARD_COUNT 會決定執行個體中的分割區數量。分片數量會決定儲存例項資料的總記憶體容量。如要進一步瞭解執行個體規格,請參閱「執行個體和節點規格」。

例如:

gcloud memorystore instances create my-instance \
--location=us-central1 \
--endpoints=connections=[{pscAutoConnection={projects/my-project/global/networks/my-network,projectId=my-project}}]
--replica-count=1 \
--node-type=highmem-medium \
--shard-count=3 \
--transit-encryption-mode=server-authentication

下載憑證授權單位

如果在執行個別實例時啟用傳輸中加密功能,您執行 get-certificate-authority 指令時,就會看到憑證授權單位的憑證:

gcloud memorystore instances get-certificate-authority INSTANCE

更改下列內容:

  • INSTANCE 是 Memorystore for Valkey 執行個體的 ID。

回應主體會包含所有適用憑證授權單位的憑證。

在用戶端上安裝憑證授權單位

您必須在連線的用戶端上安裝執行個體的憑證授權單位。CA 安裝方式可能會因用戶端類型而異。下列步驟說明如何在 Compute Engine Linux VM 上安裝 CA。

  1. 使用 SSH 連線至 Compute Engine Linux 用戶端。

  2. 在用戶端中建立名為 server_ca.pem 的檔案:

    sudo vim /tmp/server_ca.pem

  3. 下載憑證授權單位,然後貼到先前建立的 server_ca.pem 檔案中。

    CA 的文字格式必須正確無誤。您的 server_ca.pem 檔案應類似如下:

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkYjg4
ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdhMzM4NmIwZmU4MTEwLwYDVQQDEyhHb29n
bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE4MjEzMTI3WhcNMzAwOTE2
MjEzMjI3WjCBhTEtMCsGA1UELhMkYjg4ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdh
MzM4NmIwZmU4MTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDEO4Zs/So5DA6wtftkAElD
8BVREob4gby2mGBYAtd3JJQKFC+zIqCf2DhrWihrCeXhsdsZqJUF16E3MsCCWS2T
UWt6T37zObU2fzKmb7X+TSw1tunIUcIXwWzoMhqdGrIvfI9guMbF+KssQIjDMs9M
G/hY6cY1NB5THOxXqcxzYrwSKB1EE160EDz4RgKAYQhw7AyVOBBAbWqA5pTEDuUy
qpsz+NFpKYTwaeTpzil0xIl0JJS3DOd4G7ZnMG2wFT2j3wt+P0SkAPuOWgmX82iO
gGmKoaCh3KcICie/rZRTfsRPjMm+yswRQRDeLB5eoMmH+gbUInVZU0qOJ/7gOYEb
AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
AF4xlEbwLUK5VjoKlJBtKXLYrYcW+AbQLhZQFP8exE8bOW7p39h+5J0nl3ItPxu6
97BCt1P5TFisba8pBxaExiDsYmjKQrhtizMkzl5h9hGksOgoLlAqaaxfA97+Q9Tq
5gaYChESur/159Z3jiM47obKoZmHfgSgr//7tjII7yZxUGhOjIVffv/fEa4aixqM
0yH1V1s8hWHZeui2VFrHmTxY20IH9ktyedjSUgnFXzsEH6sbR18p0wBZqyrrtURs
DaUIeoOHfHgEJM8k/wphSJI0V6pMC6nax2JhexLTRiUsiGTLRDe3VtsdWqS2DLa9
9DmrfdF0eFrfWw3VRNLwwXg=
-----END CERTIFICATE-----

    如上一個範例所示,您的檔案應遵循下列規範:

    • 複製整個憑證授權單位,包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行。

    • 請確認 CA 的文字完全靠左對齊。在 CA 的任何一行前方,都不得有空格。

    • 每個憑證授權單位應分別列在新的一行。CA 之間不應有空白行。

設定用戶端以進行傳輸中的資料加密

用來連線至執行個體的用戶端必須支援 TLS,或使用第三方附屬程式啟用 TLS。

如果用戶端支援 TLS,請將其指向 Valkey 執行個體的 IP、port 6379 和包含憑證授權單位的檔案。如果您選擇使用 sidecar,建議您使用 Stunnel

使用 Stunnel 和 telnet 安全地連線至 Memorystore 執行個體

如需使用 Stunnel 在 Compute Engine 用戶端啟用傳輸過程加密功能的操作說明,請參閱「使用 Stunnel 和 telnet 安全地連線至 Memorystore 執行個體」。

管理憑證授權單位輪替

您應在存取執行個體的用戶端上安裝所有可下載的憑證授權單位。

在可供安裝時,除了先前的 CA 外,安裝新的 CA 是最簡單的方式,可確保在發生憑證授權機構輪替事件時,您擁有必要的 CA。

只要確認用戶端檔案中儲存的 CA 與下載憑證授權單位時顯示的 CA 相符,即可確保您擁有必要的 CA。輪替期間,新 CA 和舊 CA 都會處於啟用狀態,以確保停機時間最短。

用於連線至使用傳輸中資料加密功能的執行個體的程式碼範例

如要查看 Valkey 相容的程式碼範例,瞭解如何設定用戶端程式庫,以便連線至使用傳輸中加密功能的執行個體,請參閱「傳輸中加密用戶端程式庫程式碼範例」。